US-CERT publicó un aviso el día de ayer sobre una vulnerabilidad crítica que afecta el recientemente lanzado Firefox 3.5. La falla se debe a un error en la manera como se procesa el código JavaScript. Al aprovechar este hueco un atacante puede llegar a ejecutar código de manera arbitraria. Es más, el código para explotar esta falla ha sido distribuido al público.

Mozilla está al tanto de la situación y públicamente reconoció su existencia en el blog de la compañía. Ellos dicen que la falla puede ser explotada por atacantes que logren llevar a los incautos a una página malintencionada que inyecte el código. Mozilla está trabajando en solucionar el problema y esperar sacar una actualización lo antes posible.

Hasta que esté lista, lo más fácil es deshabilitar el motor JavaScript JIT (Just-in-time). Para hacer esto ingresa en la barra de navegación “about:config” y luego “jit” en la barra superior y haz doble clic en la línea que dice “javascript.options.jit.content”, aquí debes cambiar el true a “false”.

Si te parece que esto es demasiado complicado simplemente puede correr Firefox en modo seguro o incluso instalar un add-on como NoScript. Naturalmente apenas este lista la actualización puede eliminar cualquier arreglo temporal que hayas aplicado.